瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 对付IFEO劫持类病毒,瑞星的“橙8专杀”有待改进

12   1  /  2  页   跳转

对付IFEO劫持类病毒,瑞星的“橙8专杀”有待改进

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-10 17:18 | 显示全部 短消息 资料
字号: 1楼

对付IFEO劫持类病毒,瑞星的“橙8专杀”有待改进

听说瑞星的“橙8专杀工具”可以灭“随机8位数”蠕虫了,很感兴趣。
从瑞星主页下载了一个“橙8专杀工具”。
关闭所有安全软件。
将worm.agent.wk(瑞星前天就能查杀了)植入系统。
运行“橙8专杀工具”————————

附件附件:

下载次数:362
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-10 17:18:26
描述:
预览信息:EXIF信息



最后编辑2007-06-12 16:49:43
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-10 17:19 | 显示全部 短消息 资料
字号: 2楼

自己想办法吧

附件附件:

下载次数:345
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-10 17:19:19
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-10 17:20 | 显示全部 短消息 资料
字号: 3楼

靠人不如靠自己呢

附件附件:

下载次数:397
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-10 17:20:24
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-10 17:20 | 显示全部 短消息 资料
字号: 4楼

套路虽然老,但管用。

附件附件:

下载次数:319
文件类型:image/pjpeg
文件大小:
上传时间:2007-6-10 17:20:59
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-10 17:22 | 显示全部 短消息 资料
字号: 5楼

接下来,轻车熟路:删除病毒文件、删除病毒的加载项。导入注册表备份。修复IFEO。
搞掂。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-10 17:23 | 显示全部 短消息 资料
字号: 6楼

引用:
【逍遥浪子45的贴子】呵呵,确实不错哈,猫叔帮我看看啊!哪个运行被重定向怎么解决啊!~
………………

重定向?
样本?
请发到我的邮箱。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-10 17:34 | 显示全部 短消息 资料
字号: 7楼

引用:
【逍遥浪子45的贴子】我也想找样本你玩啊,猫叔,但那位MM能进入安全模式--在安全模式强行安装成功了NOD,居然连本体以及AUTORUN里面的东西全部给清理掉了...我去远程的时候就解决了那个HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options给删除了以及清理了残留的病毒文件...
………………

让MM努力找找吧
要.exe
这年头,变种多,且速度快。
不能以以往的老经验考虑问题了。
有样本,才有可能能说出个三、六、九来。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-10 17:36 | 显示全部 短消息 资料
字号: 8楼

引用:
【孤独更可靠的贴子】【回复“baohe”的帖子】

老大,你是不是在注册表RUN项写入C:\IS启动的?

没有影响么?IS不会被最小化?
………………

RUN?
估计没戏。
想想别的法子吧。
那些“优良”病毒的启动加载方式————可以模仿。
这类IFEO+关闭窗口的DD,并不像想象的那么聪明。至少,目前为止,凭我的智商还能对付它们。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-10 17:45 | 显示全部 短消息 资料
字号: 9楼

引用:
【逍遥浪子45的贴子】是EXE的话,那么是我自己帮她解决的..真后悔没截个图啊!~

在每个盘都有一个xywrebh.exe似乎那文件NOD放过了,我猜测那AUTORUN里面的代码一定是这个!

[AutoRun]
open=xywrebh.exe
shell\open=打开(&O)
shell\open\Command=xywrebh.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=xywrebh.exe

没办法了,被我删除后MM就直接清空了回收站,而且我还帮她把系统还原关闭了....TEMP文件也被我清理了.....

我郁闷啊.........
………………

xywrebh.exe————有希望啊!老大!
让MM用WINRAR在非系统分区根目录下找(有可能在一个RUNAUTO~的古怪文件夹中)
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-06-10 17:56 | 显示全部 短消息 资料
字号: 10楼

引用:
【天月来了的贴子】可能可能

还在那怪异的文件夹里呢。

猫猫的这个冰刃启动想法,那天好象漏出点,我还有印象呢。

呵呵!!!!

对于求助的不建议这个。

还是DOS算了。

………………

中毒环境下,启动IS的方法不止一种。甚至可以利用早先已经灭掉的病毒的“壳子”(病毒文件删除干净了,但保留了其加载项)。
另外,这样启动IS后,动作也不能太慢。时间,当然够用。但如果动作太“肉”了————病毒一样将IS的窗口关到最小。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT